Microsoft Azure は、Microsoft が提供する IaaS(Infrastructure as a Service)です。IaaS には企業にとっての機密情報なども載せることから、セキュリティ対策については他のサービス以上に気になるところです。
本記事では、Microsoft Azure のセキュリティ対策の概要やインシデント事例、AWS と比較した際のセキュリティの安全性などについて解説します。
Azure のセキュリティ対策・安全性
Microsoft Azure は、IaaS としてさまざまな機能を提供しています。機密情報などのデータをやり取りすることもあることから、セキュリティ対策は普通のサービス利用以上に気にしなければなりません。
ここでは、Microsoft Azure のセキュリティ対策について解説します。
Microsoft の万全なセキュリティ体制
Microsoft Azure を開発・提供しているMicrosoft は、IaaS である Azure や他のサービスを提供するにあたって、セキュリティ対策を万全に整えています。例えば、Microsoft のデータセンターは、世界各地にいる3,500以上ものサイバーセキュリティの専門家によって管理されているので、セキュリティは万全です。
データセンターの安全性が高い
Microsoft のデータセンター管理体制は、「万全すぎる」と言ってもいいほどです。Microsoft のデータセンターの周辺には、物理的に万全なセキュリティ体制が敷かれています。例えば、データセンターの来客者は必ず指定されているアクセスポイントを通過しなければなりませんし、監視カメラも設置されています。
また、Azure は ISO 27001 や FedRAMP などのコンプライアンス標準に適合するよう作られているので、セキュリティ品質は標準レベルで担保できています。
Microsoft Defender for Cloud(旧 Security Center)機能の存在
Microsoft Defender for Cloud 機能が存在することで、セキュリティ対策をさらに万全にすることができます。Azure 上にあるサービスで、セキュリティの診断や保護、脅威の検出をといった機能を提供しています。IaaS 上のサーバーだけでなく、SQL Database や Storage といった PaaS やオンプレミス環境にあるサーバーや仮想マシン、さらには AWS 上にある同様のシステムについても、Microsoft Monitoring Agent をインストールすることで監視、保護することが可能です。
Free プランではセキュリティリスクの評価とスコアリングを行い、有償プランでは本項で説明する機能を利用可能です。
リスクとスコアリングについてはこちらのブログを参照ください。
セキュリティアラート機能
Microsoft Defender for Cloud が脅威を検出すると、セキュリティアラート機能で脅威を知らせてくれます。アラートはサイバーキルチェーン分析に基づいた相関付けと自動分類を行い、開始点、影響の種類を把握することができます。
- 攻撃前
- 初期アクセス
- 永続化
- 権限の昇格
- 防御回避
- 資格情報へのアクセス
- 検出
- 横展開
- 実行
- コレクション
- 窃取
- コマンドアンドコントロール
以上のように、それぞれの脅威のステージごとに脅威を分類し、サイバーキルチェーンと呼ばれる脅威の段階ごとにセキュリティアラートが設定されます。サイバーキルチェーンは MITRE ATTACK マトリクスに基づいています。
ビッグデータ・機械学習で情報を分析
Microsoft Defender for Cloud は、Microsoft が提供する検索エンジンである Bing を通じて集めた180億件の Web ページ、4,000億件のメール、10億件の Windows デバイスの更新、4,500億件の認証などのデータを解析し、膨大なビッグデータに機械学習を使った分析を行うため、分析の精度は非常に高いものとなっています。
また、サービスプロバイダー間で共有しているセキュリティインテリジェンスやサードパーティのセキュリティ情報も利用しています。
脅威を検知・保護する
Microsoft Defender for Cloud は、脅威を検知したらその場で保護してくれます。そのため、脅威を検知してから対策を実施するまでのタイムラグが発生せず、システムを安全な状態に保つことができます。
検出できる脅威には、マルウェアや悪質な PowerShell スクリプト、サードパーティが検出したその他の脅威など、さまざまな脅威があります。
Web アプリケーションファイアウォールの存在
Web アプリケーションファイアウォール(以下 WAF)の存在が、Web ベースでアプリケーションを攻撃してくる各種脅威から保護してくれます。SQL インジェクションやクロスサイトスクリプティングと言った Web サイトに対する脅威について、Azure WAF があればわずか数分でカバー可能です。
ただし、WAF の設定や運用を自社のみで実施するのは難しいですし、マルチクラウド環境やオンプレミスの環境もあるでしょう。そうした環境を保護する WAF が必要な場合は、MSS for Imperva Incapsula のご利用をご検討ください。MSS for Imperva Incapsula はセキュリティ監視センターから24時間 WAF を守ります。
層ごとに管理できるセキュリティアーキテクチャ
Microsoft Azure は、複数階層ごとにネットワークアクセスのレベルを設定できるので、必要なユーザーに、必要なタイミングとレベルでサービスへのアクセスを許可することが可能です。
通例、API のバックエンドをすべてのインターネットユーザーに対して公開することは望ましくないとされていますが、Microsoft Azure であれば、API アプリケーションへのアクセスレベルを管理して、公開・非公開のレベルを管理できます。
ストレージアカウントの保護も万全
Microsoft Azure は、ロールベースでアクセス制限が可能です。その機能を利用することで、ストレージアカウントのストレージキーに対するアクセス権限を制御できます。結果として、ストレージを安全な状態に保てます。
Microsoft Azure 組み込みロールを利用すれば、ユーザーそれぞれに対して権限を割り当てることも可能です。ユーザーごとにストレージへのアクセス権限を設定できれば、ストレージをより安全に保護できます。
保存・転送時のデータの暗号化機能
Microsoft Azure は、保存・転送時のデータを暗号化することで、データの安全を保護します。転送中のデータの暗号化では、トランスポートレベルの暗号化やワイヤ暗号化、クライアント側の暗号化などの各種機能を利用できます。
また、保存時においては、Storage Service Encryption を利用してデータを書き込む際にストレージサービスに対して暗号化を要求したり、Azure Disk Encryption で Azure 上のデータディスクなどを暗号化できます。
マルウェア対策
Microsoft Azure には、Microsoft Antimalware というソフトウェアによってマルウェア対策がなされています。
Azure 自身のマルウェア対策の他にも、サードパーティが提供するマルウェア対策ソフトウェアを利用することもできます。例えば Symantec、McAfee、Kaspersky などが提供するマルウェア対策ソフトウェアを利用できます。
Azure と AWS のセキュリティ対策の違い
Microsoft Azure と AWS の両サービスにおいて、権限管理、ネットワークセキュリティ、鍵管理、SSL 証明書などのセキュリティ対策機能が用意されており、セキュリティ対策のレベルの違いにおいて両者にほとんど差はありません。
したがって、Microsoft Azure を導入するか、AWS を導入するかを判断する場合はセキュリティを判断基準にせず、どちらがより自身が実現したいことができるのか、を考慮すればいいでしょう。
まとめ
Microsoft Azure は、幾重にもセキュリティ対策がなされた IaaS です。データセンターの安全性がそもそも高いことや、セキュリティアラート機能、WAF の存在、マルウェア対策ソフトなど、重層的にストレージ内のデータを守ります。
Microsoft Azure 自体が安全であっても、設定やコミュニケーションミスでインシデントが発生することもあります。導入について専門家に相談したい方は、ぜひSBテクノロジーまでお問い合わせください。